[发明专利]不完全信息下基于网络探针的网络拓扑图自动发现方法

说明书

技术领域

本发明涉及网络管理领域，特别涉及一种在不完全信息下基于网络探针的网络拓扑图自动发现方法。

背景技术

随着网络信息时代的不断发展，网络应用在日常生产生活中的日益普及，人们对计算机网络的依赖程度越来越高。网络自身的安全性和可靠性变的尤为重要，特别是例如工业控制这样的特殊应用领域。随着工业控制自动化进程的深入，工业控制网络不断面临着来自外部互联网的恶意攻击和内部人员的误操作等安全威胁。因为早期工控设备使用环境相对封闭，工控系统缺少对网络安全自身的关注，这导致工业控制系统中存在不可避免的安全缺陷。因此，对与之相关的网络管理系统也提出了越来越高的要求。

网络拓扑的自动发现是指发现网络元素并确定元素之间的连接关系，从而在此基础上绘制出网络拓扑图。其考虑因素包括互连设备(如路由器、网桥、交换机)、主机和子网。网络拓扑发现主要包含两方面内容：一是发现设备节点的存在；二是确定设备节点的拓扑位置(即节点连接信息)。在最初网络OSI结构和TCP/IP进行构建时，并没有将网络拓扑发现作为设计目标，因此目前并没有一个完美的方案可以在无拓扑先验知识的情况下对网络拓扑进行完美的绘制。目前存在的一些解决方法(如802.11ab，LLTD协议等)都存在一些缺陷，例如需要特殊硬件支持等。

为得到一个含n个节点网络的拓扑结构，在网络中放置m个具有监测功能的网络探针(例如具有TAP功能的路由器等)。每个探针具有一定数目的端口并且可以检测到通过每个端口进行通信的设备信息，例如发送数据包和接收数据包设备的IP地址等。通过探针所检测的数据，可得知网络设备与探针端口的连接情况，但值得注意的是，此连接情况并非一定是直接相连，也可能是间接相连。如果网络中每两个设备间均有通信，称此时探针所得到的信息为完全信息。在完全信息下，通过特定的技术，利用网络探针可把网络划分为若干个区(zone)，并且能知道设备对于区的隶属情况。然而，对于大规模网络，很难得到完全信息，取而代之的是，只能得到部分信息，在这种不完全信息下，寻找网络的拓扑会变的易常困难。

发明内容

为解决现有技术存在的上述问题及缺陷，本发明提出了一种不完全信息下基于网络探针的网络拓扑自动发现方法。本发明不要求网络的完全通信信息，即每两两设备间有通信，而只需利用网络的部分通信信息，便可在一定程度上推断出网络的拓扑结构。

本发明的不完全信息下基于网络探针的网络拓扑自动发现方法，具体包含以下步骤：

步骤一：利用拆分推断的性质对所有可拆分的双链或长链进行拆分，直到没有链可拆分为止；

步骤二：利用合并推断的性质对可以合并的设备或区进行合并；

步骤三：对于不能拆分的双链和长链，根据其经过的探针集合并利用延伸推断的性质，构造新长链；

步骤四：如果存在新的可合并的区或设备，则返回步骤二，否则执行步骤五；

步骤五：利用端口推断，找出新的单链；

步骤六：如果存在新的可继续拆分的链，则返回步骤一，否则执行步骤七；

步骤七：对所有的信息链利用延伸推断的性质进行组装，形成拓扑图并输出结果；

其中只经过一个探针的通信信息为单链；经过两个探针的通信为双链；经过多于两个探针的通信信息为长链；

区定义为若干设备所构成的一个集合，可看作是由探针所分划出的一个子网。

进一步地，其中步骤一中的拆分推断具体为：

对于两组通信数据，如果所经过的探针交集不为空，则可在以下两种情况下进行拆分：

(1)两组通信有一个共同的区或设备，且一组通信所经过的探针集合是另一组的一个子集，则可进行拆分；

(2)两组通信无共同设备，探针的交集是各组探针集合的真子集，则可进行拆分；

拆分推断主要用于将多链或双链拆分成短链或单链。

进一步地，其中步骤2中的合并推断具体为：

如果经过的探针及端口信息相同，则可将连通相同端口的设备或区进行合并。

进一步地，其中步骤五中的端口推断具体为：

与探针其中一个端口相通的区或设备可同与探针其它端口相连的区或设备通信。

进一步地，其中步骤七中的延伸推断具体为：

两组拥有共同区或设备的通信可进行拼接延伸；

所述延伸推断主要用于组装单链发现拓扑；或将短链延伸成长链再进行合并推断。